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(54) Precede de contrdle de configuration d'une installation complexe et disposrtrf pour la mise en ceuvre de ce 
pro cede. 

(57) (.'invention concerne un procede de contrdle de confi- 
guration d'une installation complexe, ainsi qu'un dispositrf 
mettant en ceuvre ce procede. 
Le procede consiste essentiellement a: 

- enreqistrer (102) dans une memoire d'un calculateur de 
('installation, une base des codes ^identification des 
moyens de Installation, y compris fe code d'identification 
du nouveau moyen, pour obtenir une base de la nouvefle 
configuration de Installation, 

- enregistrer (103) dans la memoire dudit calculateur une 
base de reference des codes d'identification des moyens 
de I' installation, avant ledit rem placement, cette base cor- 
respondent a la configuration, dite ancienne, de ('installa- 
tion, 

- comparer (104) la base de reference des codes d'iden- 
tification de I'ancienne configuration avec la base des co- 
des d'identification de la nouvelle configuration, pour de- 
clencher (107) une alarme lorsque la comparaison indique 
une modification de configuration. 
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PROCEDE DE CONTROLE DE CONFIGURATION D'UNE INSTALLATION 
COMPLEXE ET DISPOSITIF POUR LA MISE EN 
OEUVRE DE CE PROCEDE 



DESCRIPTION 



La pr§sente invention concerne un proc£d6 
de contrSle de configuration d'une installation 
complexes ainsi qu'un dispositif de mise en oeuvre 
de ce proc£d6. 

Ce proc6d£ et ce dispositif sont applicables 
aux installations complexes, de configuration d6termin£e 
ou evolutive. Ces installations comprennent g4n6ralement 
des moyens combings tels que des capteurs, des systfcmes 
de traitement incluant des calculateurs commandant 
par exemple des asservi ssements et d'une manifere 
generate des moyens combines i nteragissant les uns 
avec les autres pour obtenir un rfesultat souhait§.. 

La configuration d'une installation est 
d6termin6e par les concepteurs de celle-ci. Cette 
configuration dfefinit notamment I 'organisation des 
diff6rents moyens fonctionnels qui composent 
1 1 i ns tal la tion, les specifications fonctionnelles 
essentielles de ces moyens, les liaisons et les 
interactions entre ces moyens, Une configuration 
pr 6d§t erm i n6e d'une installation permet & celle-ci 
d'effectuer des traitements pour accomplir des actions 
pr 6d6t erm i n§es en vue de L'obtention d'un r£sultat 
souhaitfe. Inversement, une configuration non autorisfce 
d'une installation ne permet pas £ cette installation 
de rfealiser tout ce qui est attendu d'elle dans des 
conditions souhait6es, ces conditions pouvant aller 
d'un niveau de s£curit& d£grad£ a une absence totale 
de service rendu. 

Des installations de ce type peuvent §tre 
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des ensembles complexes tels que des stations de 
poursuite de satellites et de traitement de signaux 
6chang6s avec ces satellites, des postes de navigation 
sur les navires, des automobiles 6quip6es d'ordinateurs 
5 de bord traitant des signaux provenant par exeraple 
de capteurs fournissant les pararaStres relatifs au 
d£placement ou au freinage, des postes de commande 
de f one t ionnement de centrales nucl£aires, des postes 
de pilotage d'avions etc... 
10 Les proc£d£s et dispositifs de contrdle 

d 1 instal lations complexes doivent concourir & une plus 
grande s£curit§ de f one t i onnement de ces installations 
grace d une surveillance trfcs stricte de leurs 
configurations . 

15 Dans un avion par exemple, la sfecuritfe 

est une preoccupation majeure des const ructeurs qui 
adoptent de plus en plus des installations ou systfcmes 
dits de "commande de vol 6lectrique" incluant notamment 
des calculateurs, des asservissements, des capteurs 

20 etc.... Une partie importante de ces syst&mes est d§di6e 
d la surveillance et a la manoeuvre de I'avion par 
un ou plusieurs pi lotes, £ partir d f un poste central 
de pi Lotage- 

Chaque installation a g6n6ralement une 
25 dur&e de vie importante (plusieurs ann£es). La mise 
en exploitation de I 1 instal lation n'est effective 
qu'aprfes des phases successives incluant notamment 
l'6tude et la conception, la realisation d'un prototype, 
la premifere mise en marche, Les essais rendant 
30 nfecessaires des modifications, puis la fabrication 
d' instal lations de sferie. 

Les installations de s£rie sont elles-memes 
soumises S des evolutions de configuration au cours 
du temps, soit pour des besoins particuliers d'un 
35 utilisateur, soit pour ara£liorer la quality, la 
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robustesse. La fiabilit§ de I ■ installation, mais aussi 
pour ob£ir h de nouvelles rfiglementations ou pour 
utiliser de nouvelles technologies prfisentant de 
meilleures performances, ou parce que les anciennes 
5 technologies sont devenues indi sponibles. 

Cette Evolution de configuration est 
friquente dans les gros avions qui sont d'autant plus 
concern$s qu'ils sont plus modernes et mettent, par 
consequent, en oeuvre un nombre plus important de 

10 calculateurs. Toute Evolution de configuration doit 
§tre g6r6e avec prudence et raSthodologi e, notamment 
pour des raisons de security. Il est notamment 
nScessaire, lors du remplacement d'un moyen fonctionnel 
ancien par un nouveau moyen dans une installation, 

15 de contrdler la compatibility de ce nouveau moyen avec 
les autres raoyens de 1 1 installation. En effet, tout 
nouveau moyen fonctionnel introduit dans une 
installation en remplacement d'un ancien moyen ne doit 
pas perturber le f onctionnement de 1 1 installation ; 

20 celle-ci doit rester capable de fournir au moins les 
commandes fournies jusque lb ou mieux, d'am&liorer 

leur quality. 

On ne sait pas actue I leraent contrdler de 
manifcre automatique la validity de la configuration 

25 d'une installation de traitement de donn^es et de 
signaux, notamment lorsque un ou plusieurs des moyens 
fonctionnels combines de cette installation sont 
remplacfis par de nouveaux moyens. 

Dans l'6tat actuel de la technique, pour 

30 une installation comportant notamment plusieurs 
calculateurs recevant et Achangeant des donnfces ou 
des informations pour les traiter, le technicien de 
maintenance qui remplace un calculateur par un autre, 
ou modifie un programme d f un calculateur dans une 

35 installation, ou remplace un capteur par un autre, 
modifie la configuration de celle-ci. Ce remplacement 
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peut intervenir par exemple lorsqu'un calculateur est 
en panne. Le technicien a alors Le choix entre Le 
remplacement du calculateur ancien par un calculateur 
identique fonctionnant avec le meme programme, ou le 
remplacement du calculateur ancien par un calculateur 
Equivalent fonctionnant avec un programme tel que les 
entrees/sorties du nouveau calculateur sont identiques 
aux ent rEes/sorties de L'ancien calculateur (dans toute 
la suite de la description, le terme calculateur 
dEsignera non seulement le materiel, mais aussi Le 
logiciel). 

Le technicien peut aussi, en respectant 
certaines conditions, remplacer un calculateur par 
un calculateur non Equivalent- C'est le cas par exemple 
lorsqu'aucun calculateur identique ou Equivalent n'est 
disponible, ou lorsque ce remplacement est demandE 
par le concepteur de 1 1 i nstal la tion qui souhaite 
modifier La configuration de celle-ci, & La demande 
d'un utilisateur, ou pour amEliorer la qualitE du 
f onctionnement de cette installation. La modification 
de configuration de, 1 1 i ns ta I La t i on, rEsultant par 
exemple du remplacement d'un calculateur par un 
calculateur non Equivalent, exige du technicien de 
maintenance des procEdures de vErification de la 
coherence du f onct ionnement de 1 1 i ns ta L La tion- Ces 
procEdures sont longues, compliquEes, et L'erreur 
"humaine" dans ces vEri f ications est toujours un risque 
pouvant entrainer de graves consEquences. 

Le remplacement citE en exemple est ceLui 
d'un calculateur, mais ce remplacement peut §tre celui 
d'un ou plusieurs autres moyens fonctionnels de 
l' installation, tels que des capteurs, des circuits 
de mesure etc-.. 

Le technicien de maintenance vErifie la 
coherence de L 1 i ns t a L La t ion, k partir d ' i nf o rmat i ons 
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contenues dans un manuel de maintenance ou sur des 
fiches techniques. 

Pour verifier cette coherence, iL doit 
tout d'abord verifier des conditions 

d' interchangeabi Litfe d'un moyen existant de 
L 1 instaL Lation, par un moyen nouveau. 

IL doit ensuite verifier des conditions 
de compa t ibi Li t§ entre Le moyen nouveau qui rempLace 
un moyen existant pr£d6termin6 et Les autres moyens 
de L 1 i ns taL Lation avec LesqueLs ce moyen nouveau 
coop£re. Tous Les moyens de L 1 instaL Lation, ainsi 
qu'un raoyen nouveau, sont rep6r6s par des codes 
d 1 identification. 

Les conditions d 1 i nterchangeabi Li t£ qui 
doivent £tre v6rifi§es sont Les suivantes : 

1 / Interchangeabi Lit6 simpLe 

a) IL y a i nterchangeabi Li t£ simpLe 
Lorsqu'un raoyen existant portant un code 
d 1 i dent i ficat ion pr6d6termin6 est rerapLac£ par un 
moyen portant Le meme code d'identif ication. 

C"est par exerapLe Le cas Lorsqu'un 
caLcuLateur de type et de marque pr§d6t erm i n£s, 
fonctionnant avec un programme Lui-m§me pr 6d§t e rm i n£, 
est remplac§ par un caLcuLateur de meme type et 
de meme marque, fonctionnant avec un programme 
identique au programme pr6d6termin6. 

Ce cas est §gaLement ceLui d'un 
caLcuLateur dans LequeL une erreur d 'expLoi tat ion 
apparait au cours du d6rouLement du programme 
utiLis£. Lorsque L'erreur est corrig£e, c'est Le 
code d 1 i denti f i cat ion pr6d6terminfe qui continue 
k §tre utiLisfe. Le moyen existant n'a en effet pas 
6t6 rerapLace- 
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b) II y a aussi i nte r changeabi Li t6 simpLe 
Lorsqu'un nouveau moyen, portant un nouveau code 
d' i.denti f ication, peut rempLacer Le moyen existant 
portant un code d 1 i dent i f i ca ti on pr6d6termin6. 

C'est par exemple Le cas Lorsqu'un 
programme pr6d§t ermin§, utiLisd dans un calculateur 
d'une i nstaL Lat ion, est rempLac£ par un nouveau 
programme capabLe d'ex§cuter Les mimes traitements 
que Le programme existant. 

c) Enfin, iL y a aussi i nt e r changeabi L i t 6 
simpLe Lorsqu'un nouveau moyen portant un nouveau 
code dMdentif ication ne peut §tre rerapLacS que 
par un nouveau moyen portant Le m§me nouveau code 
d' identification. 

C'est par exempLe Le cas Lorsqu'un 
nouveau programme a et6 introduit dans un caLcuLateur 
car iL prfesente une meiLLeure efficacit§. Ce nouveau 
programme ne peut §tre rempLac6 que par un programme 
identique, par exempLe en cas d'erreur au cours 
du dferouLement du nouveau programme. Lorsque cette 
erreur est corrigSe, c'est Le nouveau code 
d 1 i denti fi cation qui continue k §tre utiLisfe. 

InterchangeabiLit6 doubLe 

IL y a i nt erchangeabi Li t6 doubLe Lorsqu'un 
moyen existant portant un code d 1 i dent i f i ca t i on 
pr6d6termin6 peut etre rempLacS par un nouveau moyen 
portant un nouveau code d 1 i dent i f i ca t i on, ou 
rfeciproquement . 

C'est par exempLe Le . cas Lorsqu'un 
caLcuLateur pr6d6termin6, de type 286SX fonctionnant 
avec un programme pr6d§termin§ Ccet ensembLe portant 
un code d ' i dent i f i ca t i on pr6d6termin6) est rempLac§ 
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par un calculateur de type 386SX fonctionnant avec 
un programme identique au programme predetermine. 
Le calculateur 386SX et son programme portent un 
nouveau code d 1 i dent i fi cat ion - lis peuvent 

5 rfeci proquement §tre remplacfis par I'ancien 
calculateur 286SX et son programme predetermine 
portant le code d 1 i dent i fi ca t ion predetermine. 
Dans les deux cas en effet, les entrees/sorties 
des calculateurs sont identiques. 

10 

3/ Non interchangeabilite 

Un moyen ayant un code d 1 i dent i f i cat i on 
predetermine ou un moyen ayant un nouveau code 

15 d 1 identification ne peuvent remplacer exc lusi vement 
qu'un moyen ayant un code d 1 i dent i f i ca t i on identique. 

C'est par exemple Le cas lorsqu'un 
calculateur de type et de marque predetermines, 
fonctionnant avec un programme predetermine, ne 

20 peut etre remplace que par un calculateur de meme 
marque, de meme type, et utilisant le m&me programme. 

C'est aussi le cas lorsque la configuration 
d'une installation a 6volue pour des raisons 
techniques et qu'un calculateur nouveau, utilisant 

25 un nouveau programme, a remplace un calculateur 
predetermine utilisant un programme predetermine. 
Ce nouveau calculateur et le nouveau programme ne 
peuvent etre remplaces que par un calculateur et 
un programme identiques. 

30 

les conditions de compat ibi li te qui doivent 
etre verifiees sont les suivantes : 



35 



2692701 



8 

1 / Compatibility fonctionnelle 

Lorsque dans une installation, un nouveau 
moyen ayant un nouveau code d 1 identification, 
remplace un moyen pr§d6termin6 ayant un code 
d* identification prydyterminy, il faut s'assurer 
que ce nouveau moyen realise avec une identity totale 
les fonctions du moyen pr6d6termi n6. La compatibility 
fonctionnelle exige que I'une des deux premieres 
conditions d 1 inter change abi li ty (interchangeability 
simple et i nterchangeabi li t6 double) soi t . v£ ri f i 6e . 

2/ Compatibi lit£ interne 

Pour des raisons de s£curit6, certaines 
installations comportent plusieurs voies parallfeles 
redondantes executant les memes fonctions, Les 
moyens fonctionnels des diff^rentes voies sont 
identiques- S'assurer de la compatibility interne 
consiste d verifier que le concepteur de 
I ' instal lat ion autorise le remplacement d'un moyen 
prydyterminy dans I'une des voies, ayant un code 
d' identi f ication pr ydyt ermi ny, par un moyen nouveau 
ayant un nouveau code d 1 i dent i fi cat ion mais exycutant 
les m&mes fonctions que le moyen prydyterminy. 

3/ Compatibility externe 

Cette compatibility externe doit §tre 
v6rifiye dans des installations comportant plusieurs 
systfcmes i nterconnec t ys par des entryes et des 
sorties, pour ychanger des donnyes. vyrifier la 
compatibility externe consiste k verifier que Le 
remplacement, dans I'un des systfcmes, d*un moyen 
prydyterminy ayant un code d ' i dent i fi cat ion 
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prfed6termi n£, par un moyen nouveau ayant un nouveau 
code d 1 i denti f i cat ion, ne perturbe pas Les ^changes 
de donn£es entre Les divers syst^mes de 
1 1 i nstal La t ion. 

On constate bien, comme indiqu£ pLus haut, 
que le contrdLe de configuration d'une installation 
dans LaqueLle un ou pLusieurs moyens fonctionnels sont 
rempLac£s est, pour un technicien de maintenance, un 
travail difficile, Long, fastidieux et coOteux. De 
pLus, Le technicien peut commettre des erreurs de 
verification pouvant entrainer des consequences graves, 
notamment quant il s'agit d' i nstal Lations de commande 
de voL SLectrique d'un avion. 

L'invention a pr6cisement pour but de 
rera£dier h ces i nconv£nients grace & un proc6d6 et 
un dispositif autoraatiques de contr6Le de configuration 
d'une instaLLation coropLexe. L'automatici t£ du proc£d£ 
et du dispositif facilite notabLeroent Le travaiL du 
technicien de maintenance, permet de raccourcir 
notabLeroent Les d£Lais de contrdle, et assure une trfcs 
grande s6curit6 du contrdLe de configuration d'une 
i nstaL La t ion. 

L'invention concerne tout d'abord un proc£d£ 
de contrdLe de configuration d'une instaLLation 
compLexe, cette instaLLation coraportant des moyens 
combines pr£sentant une configuration pr£d£t ermi n£e 
et incLuant des calculateurs et des capteurs reLi£s 
k des entrfees des caLculateurs pour leur fournir des 
donnees et des signaux £ traiter, L 1 i nstal Lat ion 
commandant des ensembLes fonctionnels reLi£s S des 
sorties des moyens combines pour recevoir des signaux 
de commande, Le proc£d6 consistant k : 

- affecter d chaque moyen de L 1 i nstal lation 
un code d* identification cor respondant d La structure 
et aux specifications f onct ionnel Les de ce moyen. 
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- verifier si Le remptacement d f au moins 
un moyen existant de L * i ns taL Lation auqueL est attribuS 
un code d 1 i denti f icat ion prfedfetermi n6, par un nouveau 
moyen auqueL est attribu6 un nouveau code 
d f i denti f i cat ion, provoque un changement de La 
configuration pr6d6termin6e de I ' i nstaL Lation 
susceptibLe de perturber Les signaux de conimande fournis 
par L ' i nstaL Lation, Ladite verification consistant 
h : 

* enregistrer dans une m§moire d*un 
caLculateur, une base des codes 
d 1 i dent i f i c a t ion des moyens de 
L 1 i nstaL Lation, y corapris Le code 
d 1 i dent i fi cat ion du nouveau moyen, pour 
obtenir une base de La nouvelle 
configuration de L 1 i nstaL Lation, 

* enregistrer dans La m£moire dudit 
caLcuLateur une base de r£f£rence des 
codes d 1 identification des moyens de 
L 1 i nstaL La t ion, avant Ledit remp La cement, 
cette base cor respondant & La 
configuration, dite ancienne, de 
L 1 i nstaL Lation, 

* comparer La base de reference des codes 
d 1 i denti fi cat ion de L'ancienne 
configuration avec La base des codes 
d* i denti fi cat ion de La nouveLLe 
configuration, pour d£cLencher une alarme 
Lorsque La comparaison indique une 
modification de configuration. 

SeLon une autre ca ractferi s tique, Le proc§d6 
consiste aussi a verifier si : 

- Le nouveau moyen est interchangeabLe 
avec Le moyen existant, 
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- Le nouveau moyen est interchangeable 
et compatible avec les autres moyens de 1 1 i nsta I la t ion, 
la base de rfefSrence contenant un dictionnaire des 
moyens i nterchangeab les et compatibles. 

Selon une autre caractferi st ique du proc6d§, 
celui-ci consiste h enregistrer la nouvelle 
configuration de 1 1 i ns t a I La tion dans une m£moire 
d'archivage du calculateur lorsque, aprfes Ladite 
comparaison, le nouveau moyen est interchangeable et 
compatible avec un moyen existant qu'il remplace. 

Selon une autre ca rac t 6 r i s t ique, le procSdS 
consiste ensuite a verifier tous les critferes de cas 
de compatibility suivants : 

- compatibility f onct ionnel le, 

- compatibility interne lorsqu'un nouveau 
moyen remplace un moyen existant dans un ensemble de 
moyens redondants du systfeme, ce nouveau moyen devant 
§tre compatible avec Les autres moyens redondants de 
1 1 ensemble, 

- compatibility externe lorsque les entries 
et les sorties d'un systfeme de 1 1 i ns ta I la t i on, qui 
pr£sente une nouvelle configuration, sont compatibles 
avec les entries et les sorties des autres systemes 
de 1 1 i nstal lation. 

L'invention a aussi pour objet un dispositif 
de contrdle de configuration d'une installation 
complexe, pour La mise en oeuvre du proc£d6, caract6ris£ 
en ce qu'il comporte un calculateur et sa m^moire, 
d£di6s au moins au contraie de configuration, des moyens 
de chargement dans La m£moire de I r ordinateur, de ladite 
base de r£f£rence des codes d ' i dentif ication, cette 
mfemoire contenant en out re un programme de comma nde 



2692701 



12 

d 1 enr eg i s t rement des codes d 1 i dent i f i c a t ion, cette 
m^moire contenant en outre un programme d* enregi st rement 
des codes d 1 i dent i f i ca t i on des moyens de L 1 i ns ta L Lat ion 
& contrdLer, et un programme de comparaison de La base 
de reference des codes d 1 i denti f i cat ion de L'ancienne 
configuration, et de La base des codes d' i dentifi cation 
de La nouveLle configuration, et des moyens d'affichage 
reLiSs au caLcuLateur, pour fournir un message d'aLarme 
par suite d'une modification non autoris^e de 
configuration, pour indiquer Les causes de cette 
modification non autorisfee et pour indiquer Le code 
d 1 i dent i fi cat ion du nouveau moyen introduit dans 
L 1 i nstaL Lation et qui a provoquS cette aLarme, ces 
moyens d'affichage fournissant aussi un message reLatif 
d L 1 autori sation d 1 ut i Li sat ion de La nouveLLe 
configuration Lorsque La comparaison n'a pas d£cLench£ 
d'aLarme, cette nouveLLe configuration 6tant aLors 
enregistrSe dans Lesdits moyens de changement. 

Les caract§ristiques et avantages de 
L'invention ressortiront mieux de La description qui 
va suivre, donnfee en reference aux dessins annexes, 
dans LesqueLs : 

- La figure 1 reprfcsente sch§mat iquement 
et en exempLe une instaLLation compLexe, contr6L6e 
par un dispositif mettant en oeuvre Le proc£d6 de 
L ' i nvent i on, 

- La figure 2 est un o rganig ramme qui d§crit 
Les etapes essentieLLes du proc§d6 de contrdLe de 
1 1 i nvention, 

- La figure 3 est un organigramme qui d6crit 
pLus pr6cis6ment Les Stapes reLatives aux verifications 
d 1 i nterchangeabi L i 1 6 et de compatibility, intervenant 
dans L 1 organig ramme de La figure 2. 

La figure 1 repr&sente sh6mat iquement une 
instaLLation compLexe comportant par exempLe deux 
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systfemes 1, 2 comprenant des raoyens combines permettant 
d'obtenir un r6suLtat souhaite. SeuL Le systSme 1 
a 6t6 represents en detail sur La figure. 

Ce systfeme comporte des moyens combings 
presentant une configuration pr6determin6e. Dans 
L'exemple repr6sent6 sur La figure, Le systeme 1 
comprend des caLcuLateurs 3, 4, 5, 6, 7, 8 et des 
capteurs relies h des entries des caLcuLateurs. SeuL 
L 'un des capteurs 9 d'un ensembLe de capteurs 10 a 
ete reprSsente sur La figure. 

Ces capteurs sont reli6s h des entries 
des caLcuLateurs pour Leur fournir des donnees et des 
signaux a traiter. Ces capteurs sont, par exempLe pour 
un avion, des capteurs de vitesse, de debit de 
carburant, de tempS r atu re . . .e tc . L* instal lation commande 
des ensembLes fonctionneLs 11 relies h des sorties 
de caLcuLateurs qui Leurs fournissent des signaux de 
commande. Un ensembLe fonctionneL 12 a ete represents 
en exempLe sur La figure. Pour un avion h commandes 
eiectriques de voL, ces ensembLes fonctionneLs sont 
par exempLe des asservi sseraents. 

Dans Le systSme represents en exempLe sur 
La figure, chaque caLcuLateur est bien entendu relie 
& une mSmoire. Ces raSmoires sont representees en 13, 
14, 15, 16, 17, 18 et eLLes sont respect ivement reLiSes 
aux caLcuLateurs 3, 4, 5, 6, 7, 8. 

On a suppose que Les caLcuLateurs 6, 7, 
8 forment un ensembLe 19 compose de pLusieurs voies 
redondantes, comme ceLa est frequent dans un avion, 
pour des raisons de securite. En effet, toutes Les 
voies traitent des donnees ou des signaux identiques 
et fournissent des commandes identiques, de sorte que 
si L'une des voies est en panne, Les deux autres voies 
continuent & effectuer Les m§mes traitements et & 
fournir Les m§mes commandes. 
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La configuration de cette installation 
est essent iel lement representee par les codes 
d 1 i dent i fi cat ion des moyens combines qui la constituent 
(qui sont ici les calculateurs et leurs m£moires, les 
capteurs, les ensembles f onct ionnels, les programmes 
enregistr£s dans les m£moi r es . . .etc . ) , ainsi que par 
les liaisons d'entr^e/sortie des calculateurs et des 
divers autres moyens. Le code d 1 i dent i fi cat ion de chaque 
calculateur peut §tre enregistr£ dans la m£raoire du 
calculateur ou dans un registre de ce calculateur. 
Les codes d 1 i dent i f i cat ion des autres moyens de 
L* ins tal lation, tels que Les capteurs, peuvent §tre 
des codes h barres inscrits sur des etiquettes, qui 
peuvent §tre lus par des moyens appropri£s. 

Le dispositif de controle de configuration, 
conforrae & L'invention, comprend essent i e L Lement , L'un 
des calculateurs 3 par exemple et sa m£moire 13, d£di6s 
au contrdle de configuration de 1 1 i ns t a I la t ion, des 
moyens 20 de chargement dans La m£moire 13 du 
calculateur d£di£ 3, d'une base de reference des codes 
d 1 identification des diff£rents moyens de L ' i ns tal lat ion 
avant que ceLle-ci soit modifi6e. Ces moyens 
d'enregistrement de la base de reference peuvent §tre 
constitu£s par une disquette dont le lecteur 20 est 
relife au calculateur d£di£ 3. 

Le dispositif comporte aussi un ordinateur 
21 avec des moyens d'affichage 25. Un clavier 26 est 
mis & la disposition du technicien de maintenance pour 
commander le lecteur de disquettes 20. Cet ordinateur 
est aussi reli£ k une mSmoire 22, S une imprimante 
23 et & un syst&me 24 de Lecture de codes d barres. 

La m£moire 22 de L'ordinateur 21 contient 
notamment un programme d 1 enregi st rement des codes 
d 1 i dentif ication des divers moyens de 1 1 i ns tal lat ion . 
Ce programme est t£l£charg£ dans la m£moire 13 du 
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calcutateur 3. Les codes d 1 identification des 
calculateurs de 1 1 i ns tal La tion sont transmis directement 
au calcutateur 3, par Les aut res calculateurs, pour 
etre enregistr^s dans La memoire 13. Pour Les autres 
moyens, tels que Les capteurs 9 par exempLe, les codes 
d 1 i dent i f ica tion sont transmis par Le Lecteur 24 de 
codes £ barres. 

Un programme permettant de comparer Les 
codes d 1 identification des diff£rents moyens de 
L 1 i ns tal Lat ion transmis par Les autres calculateurs 
et par Le Lecteur 24, et des codes d f identification 
de reference, est egalement fourni au calculateur 3 
par L'ordinateur 21. 

La figure 2 est un organig ramme qui decrit 
Les etapes essentielles du proc£d§ de contrDLe de 
configuration, conforme £ L'invention. 

On suppose que de maniere connue, chaque 
moyen de L ■ i ns ta L La t ion est affects d'un code 
d ' i denti fication cor respondant £ la structure et aux 
specifications f onctionneL Les de ce moyen. C'est ainsi 
par exempLe que, pour un calculateur, Le code 
d f i denti fi cation pourra correspondre au type et b La 
marque du calculateur et au programme qu'il utilise. 

Ces codes 6tant affectSs, il est alors 
nfecessaire de verifier si le rempLacement d'un moyen 
existant, tel qu'un caLculateur et/ou son programme 
associe, auquel est attribue un code d 1 i dent i f i c a t i on 
predetermine, par un nouveau moyen auquel est attribue 
un nouveau code d ' i dent i f i ca t i on, ne perturbe pas La 
coherence du f onct ionnement de L • i nstal Lation et, 
notamment, ne perturbe pas Les signaux de commande 
fournis par L ' instal Lation. 

Cette verification, qui consiste en fait 
a contrdler La coherence de La nouvelLe configuration 
de L 1 instal Lation, est pr6cisement obtenue de manifere 
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automat i que, £ L'aide du procede de L'invention, dont 
les etapes essentielles sont representees sur la figure 
2. 

La premiere etape 101 consiste S acquerir 
les codes d 1 i dent i f i ca t ion des differents moyens de 
1 1 i ns tal lation. Ces codes sont acquis par Le calculateur 
dedie 3, soit directement, soit par 1 1 i nt ermedi a i re 
du lecteur 24 de codes h barres. 

lis sont enregistres dans La memoire 13 
de ce calculateur, £ I'etape suivante 102. On suppose 
bien entendu que La configuration initiale et 
pr£d£termin£e de 1 ' i nstal lation a ete modifiee en 
remplagant un moyen existant portant un code 
d* i dent if i cation predetermine, par un nouveau moyen 
portant un nouveau code d 1 i dent i fi cat ion. 

L'etape suivante 103 consiste 3 enregistrer 
dans la memoire 13 du calculateur dedie 3, une base 
de reference des codes d 1 i dent i ficat ion des moyens 
de 1 1 i ns ta I la tion, avant Le remp Lacement de L'un au 
moins des moyens de cette installation. Cette base 
est en fait un repertoire des moyens existants de 
L 1 ins tal la t ion, avant que sa configuration soit 
modifiee. La base de reference est fournie par La 
disquette 20, sur un ordre fourni par le technicien 
de maintenance agissant sur le clavier de I'ordinateur 
21. La base de reference est t6l6chargee dans La m6moire 
13 du calculateur 3. 

L'etape 104 consiste & comparer les codes 
acquis relatifs k la nduvelLe configuration de 
L * instal lation, aprfcs remplacement d'un ou pLusieurs 
moyens existants, par un ou pLusieurs moyens nouveaux. 
Cette comparaison, ainsi que Les operations de 
verification qui vont suivre, sont command6es par un 
programme enregistr6 dans La memoire 22 de L'ordinateur 
21 et qui est teiecharge dans La memoire 13 du 
calculateur 3. 
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L'Stape 105 r^sulte de I'^tape pr£c£dente. 
Etle consiste d verifier s'il y a eu ou non changement 
de configuration de L 1 instal lation. 

S'il n*y a pas eu changement de 
configuration, c'est que La configuration existante 
est vaLid^e. L'6cran 25 de I'ordinateur 21 peut aLors 
afficher un message teL que "ancienne configuration 
en service", comme indiqu£ en 106. 

SHI y a eu changement de configuration, 
une alarme apparalt d L'^tape 107. Cette alarme peut 
se traduire par un message tel que "modification de 
configuration", apparaissant sur l'4cran de 
visualisation 25 de I'ordinateur 21. 

L'apparition d'une alarme £ l'6tape 107 
ne signifie pas ob ligatoi rement que la nouvelle 
configuration n'est pas acceptable. 

Le seul cas oO la nouvelle configuration 
est unacceptable est celui pour lequel un moyen existant 
pr6d§t erm in6 a 6t6 remplac6 par un moyen nouveau qui 
n'est pas interchangeable ou est incompatible avec 
ce moyen existant. 

L'dtape 108 est pr6cis£ment la verification 
de 1 1 i nterchangeabi Li t6 et de la compatibility d'un 
ou plusieurs moyens de 1 1 i ns tal la t ion, avec les moyens 
existants dans la configuration initiale. A cet effet, 
la base de reference de codes d 1 i denti f i cat ion des 
moyens de 1 1 i ns ta I la t i on, avant la modification de 
la configuration, contient un dictionnaire des moyens 
i n te rchangeab les et compatibles. 

Si dans L • i nstal la tion, un moyen nouveau, 
portant un nouveau code d 9 i dent i fi cat ion, a remplacS 
un moyen existant, et que ce moyen nouveau n'est pas 
interchangeable avec le moyen existant, seule la 
reinstallation k l'6tape 109 de I'ancien moyen ayant 
I'ancien code d 1 identi f ication prfed§termin6 pourra 
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arrSter I'alarme. Le proc6d6 se d6rouLe aLors a nouveau 
de manifere identique £ partir de l'6tape 101 et L'^cran 
de visualisation 25 doit normalement afficher le message 
"ancienne configuration en service". 

Si Le moyen nouveau qui a remplac6 un moyen 
existant est interchangeable, il est n§cessaire de 
verifier en plus, comme on le verra plus loin en dfetail 
S L'aide de la figure 3, La compatibility de ce nouveau 
moyen avec Les autres moyens de L 1 i nstal lat ion- 
Si le moyen nouveau n'est pas compatible, 
seule La r6i nst aL La t ion du moyen existant (etape 108) 
portant Le code d' identifi cation pr&dfetermin6 peut 
perrnettre de valider a nouveau I 'ancienne configuration, 
en redSraarrant le proc§d6 a l"6tape 101. 

Si Le moyen nouveau portant un nouveau 
code d 1 identi f ication, qui a remplac4 un moyen existant 
portant un code d' identif icaiton pr 6d£t erm i n£, est 
interchangeable avec ce moyen existant, et compatible 
avec Les autres moyens de L 1 i ns ta I lat ion, a La suite 
de la verification effectuSe a L f 6tape 108, la nouvelle 
configuration est vaLid6e a L'6tape 110 ; La nouvelle 
base des codes d'identi f ication des moyens de la 
nouvelle configuration peut alors Stre chargSe a L'6tape 
111, dans La disquette 20. 

Un rapport peut §tre Sdit6 (6tape 112) 
par I'imprimante 23, pour §tre archive. Ce rapport 
indique Les alarmes de modification de configuration, 
Les r6sultats des verifications d 1 i nterchangeabi Li t£ 
et de compatibility, la validation d'une nouvelle 
configuration et • L 1 au t or i s at ion de son chargement dans 
la m^moire d'archivage, la disquette 20 par exemple. 
L'alarme est arr§t6e et Le message "nouvelle 
configuration valid£e" peut §tre affichfe sur L f 6cran 
25. 

Le proc6d6 peut aLors en permanence 
red§marrer a l'6tape 101. 
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La figure 3 est un o rgan ig rarame permettant 
d'expliquer de manifcre plus detailiee l'6tape 108 de 
verification d ' i nterchangeabi li t 6 et de compatibi lite. 

Cette verification est effectude £ partir 
de la base des codes d 1 i den t i f i ca t ion de moyens de 
la nouvelle configuration, acquis & L'etape 102, et 
de la base de reference des codes d 1 i dent i f i c a t i on, 
teiechargee £ L'etape 103, par la disquette 20. Cette 
verification r^sulte de I'alarme apparue S l'etape 
107. 

La premiere verification (etape 201) 
consiste k verifer s'il y a i nterchangeabi lite double". 
S'il n'y a pas interchangeabi Lite double, il est 
necessaire, comrae indique en 202, de verifier s'il 
y a interchangeabi Lite simple. S'il n'y a pas 
i nterchangeabi li t6 simple, c'est que 

I ' interchangeabi lite est exclusive, comme indique en 
203 et que le nouveau moyen portant un nouveau code 
d' identification ne peut §tre utilise. La seule 
possibilite est la reinstallation (etape 109) du moyen 
existant portant le code d 1 i dent i fi cat ion predetermine. 
Cette i mpossi bi li te d 1 i nt e rchangeab i I i te est signaiee 
sur le rapport 112. 

Les cas d 1 i nterchangeabi li te simple, double 
ou exclusive ont ete definis plus haut. 

En cas d 1 i nterchangeabi li te double ou 
simple, a la suite des etapes 201 ou 202, il est 
necessaire de verifier la compat ibi li te f one tionnel le 
(etape 204), La compat ibi lite interne (etape 205) et 
la compatibi li te externe (etape 206) du nouveau moyen 
portant un nouveau code d ' i dent i fi cation, avec les 
autres moyens de L 1 instal Lation. Les definitions de 
ces divers types de compatibi lite ont ete donnees plus 
h aut . 
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Si une incompat ibi Li te quelconque apparalt, 
alors un rapport est edite (etape 112) et seute La 
rfeinstaL Lat ion, d La pLace du moyen nouveau, du moyen 
existant avant La modification de configuration peut 
5 §tre envisagfce (etape 109). 

Si au contraire, Les compat ibi Li t6s 
f onctionneL Les interne et externe sont vaLidees, c'est 
que La nouveLLe configuration peut eLLe-m§me etre 
vaLid6e cetape 1 10) . 

10 La verification de compatibi Li te interne 

peut §tre rendue n&cessaire, dans L • i nstaL lat ion 
representee sur La figure 1, par exempLe en cas de 
remp Lacement de L'un des caLcuLateurs de L'ensembLe 
des voies redondantes 19. 

15 La verification de La compat ibi Li te externe 

peut etre rendue necessaire par exempLe Lorsqu'un 
caLcuLateur du systeme 1 de L ■ i nstaL La t ion est rempLace. 
Ce rempLacement doit etre compatibLe notamment avec 
Les echanges de donnees en entrees et en sorties, entre 

20 Le systeme 1 et Le systeme 2. 

L'invention permet bien d'atteindre Les 
buts mentionn6s pLus haut, et notamment d 1 aut omat i se r 
et d'ameLiorer La securite du contrdLe de configuration 
d'une instaLLation qui subit des modifications. 

25 



30 



35 
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REVEND IC ATIONS 
1. Proc4d£ de contrSle de configuration 
d'une installation complexe, cette installation 
comportant au moins un systeme (1 ou 2) comprenant 
des moyens combines prfcsentant une configuration 
prfed6termin6e et commandant des ensembles fonctionnels 
(11) relics S des sorties des moyens combinfes pour 
recevoir des signaux de commande, le proc§d£ consistant 
h : 

- affecter k chaque moyen de 1 1 instal lation 
un code d f i denti fi cation cor respondant S la structure 
et aux specifications f onct iohnel Tes de celoyen, 

- verifier si le remplacement d'au moins 
un moyen existant de 1 1 i nstal lation auquel est attribuS 
un code d 1 identification predetermine, par un nouveau 
moyen auquel est attribue un nouveau code 
dMdentif ication, provoque un changement de la 
configuration prfedfetermi n6e de 1 1 i ns ta I lation 
susceptible de perturber les signaux de commande fournis 
par ^installation, 

caracterise en ce que ladite verification consiste 
h : 

- enregistrer (102) dans une memoire (13) 
d'un calculateur (3), une base des codes 
d 1 i dent if icat ion des moyens de 1 1 i ns ta L la t i on, y compris 
le code d 1 i dent i f i ca t i on du nouveau moyen, pour obtenir 
une base de la nouvelle configuration de 1 1 insta I lat ion, 

- enregistrer (103) dans la m6moire (13) 
dudit calculateur une base de reference des codes 
d 1 identification des moyens de 1 1 instal lation, avant 
ledit remplacement, cette base cor respondant £ la 
configuration, dite ancienne, de l ' i ns ta I la tion, 

- comparer (104) la base de reference des 
codes d' i ndenti f ication de I'ancienne configuration 
avec la base des codes d 1 i dent i f i c a t i on de La nouvelle 
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configuration, pour dfecLencher (107) une alarme Lorsque 
La comparaison indique une modification de 
configuration . 

2. Proc6d£ seLon La revendi cat ion 1, 
caract£ris6 en ce qu'il consiste aussi h verifier (108) 
si : 

• Le nouveau moyen est interchangeable 
avec Le moyen existant, 

- Le nouveau moyen est interchangeabLe 
et compatible avec Les autres moyens de 1 1 installation, 
La base de rfefSrence contenant un dictionnaire des 
moyens i nte rchangeab Les et compatibles. 

3. Proc£d£ de contrdle selon La 
revendication 2, caract§ris6 en ce qu'il consiste d 
enregistrer (111) La nouveLLe configuration de 
L 1 i ns tal Lat ion dans une memoire d'archivage dudit 
caLculateur, Lorsque aprfes Ladite comparaison, Le 
nouveau moyen est interchangeabLe et compatible avec 
un moyen existant qu'il remplace. 

4. Proced£ de cont r& Le selon la 
revendication 2, caract§ris£ en ce qu'il consiste 
ensuite h verifier L'existence de cas de compatibi Li t£s 
suivants : 

- compatibility f onct ionnel Le (204), 

- compatibility interne (205) lorsqu'un 
nouveau moyen remplace un moyen existant dans un 
ensemble de moyens redondants du systdme, ce nouveau 
moyen devant etre compatible avec les autres moyens 
redondants de L'enseroble, 

- compatibility externe (206) Lorsque les 
entries et les sorties d'un systfcme de 1 1 instal lation, 
qui prfcsente une nouvelle configuration, doivent §tre 
compatibles avec Les entries et Les sorties d'au moins 
un autre systfeme de 1 1 i ns t a L La tion. 
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5. Dispositif de contrdle de configuration 
d'une installation complexe, pour la mise en oeuvre 
du proc6d6 conforme d I'une quelconque des 
revendi cat ions 1 a 4, caract6ris§ en ce qu'il comporte 
un calculateur (3) et sa m6moire (13), d6di6s au moins 
au contrOle de configuration de 1 1 instal lation, des 
moyens de chargement (20) dans la m£moire (13) de 
L f ordinateur (3) de ladite base de r§f§rence des codes 
d 1 identification, cette ra6moire contenant en outre 
un programme d 1 enr eg i st rement des codes d * i dent i f i ca t i on 
des moyens de 1 1 i nstal la tion h contrSler, et un 
programme de comparaison de la base de r£f£rence des 
codes d* identification de I'ancienne configuration, 
et de La base des codes d 1 i dent i f i ca t i on de la nouvelle 
configuration, et des moyens d f affichage (25) relifes 
au calculateur (3), pour fournir un message d'alarme 
par suite d'une modification non autorisfee de 
configuration, pour indiquer les causes de cette 
modification non autorisfee, et pour indiquer le code 
d 1 i dent i fi cat ion du nouveau moyen introduit dans 
1 1 i nstal Lation et qui a provoquS cette alarme, ces 
moyens d'affichage fournissant aussi un message relatif 
k 1 1 aut ori sat ion d 1 ut i li s at ion de la nouvelle 
configuration lorsque la comparaison n f a pas dGclenchfe 
d'alarme, cette nouvelle configuraion 6tant alors 
enregistrfee dans Lesdits moyens de chargement (20). 
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